4
IPSEC Zyxel USG 100 mehrere User
Einen schönen windigen Abend zusammen
Ich habe gerade eine IPSEC Verbindung mit meiner USG 100 (aktuellste Firmware) und Shrewsoft VPN Client erfolgreich aufgebaut.
Da ich jetzt mehrere Clients (5 Stück) per VPN Anbinden möchte, stelle ich mir eine Grundsatzfrage zu VPNs.
Man muss ja jeweils eine Gateway und eine Connection erstellen (Phase 1 und Phase 2). Muss man dann pro Client jeweils eine erstellen? Oder können mehrere über eine einzige Konfiguration?
Falls doch alle über eine gehen, wie handhabt ihr es mit dem Pre-Shared Key? Falls er einmal abhanden kommt, müsste man das ja bei jedem neu einfügen.
Eine möglichkeit über zusätzlichen Usernamen und Passwort kenne ich nicht, außer über L2TP/IPSEC, was ich eher nicht verwenden wollte.
Danke für euer Input
Ich habe gerade eine IPSEC Verbindung mit meiner USG 100 (aktuellste Firmware) und Shrewsoft VPN Client erfolgreich aufgebaut.
Da ich jetzt mehrere Clients (5 Stück) per VPN Anbinden möchte, stelle ich mir eine Grundsatzfrage zu VPNs.
Man muss ja jeweils eine Gateway und eine Connection erstellen (Phase 1 und Phase 2). Muss man dann pro Client jeweils eine erstellen? Oder können mehrere über eine einzige Konfiguration?
Falls doch alle über eine gehen, wie handhabt ihr es mit dem Pre-Shared Key? Falls er einmal abhanden kommt, müsste man das ja bei jedem neu einfügen.
Eine möglichkeit über zusätzlichen Usernamen und Passwort kenne ich nicht, außer über L2TP/IPSEC, was ich eher nicht verwenden wollte.
Danke für euer Input
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 267946
Url: https://administrator.de/forum/ipsec-zyxel-usg-100-mehrere-user-267946.html
Ausgedruckt am: 07.04.2025 um 11:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Im Mainmode funktioniert nur eine Gatewaypolicy mit dynamischem Peer pro vorhandener öffentlicher IP-Adresse. Man kann zwar auch mehrere anlegen, aber im Mainmode funktioniert das Ruleswapping nicht, da die Zywall nicht wissen kann, welche Gatewaypolicy der Client gerne hätte. Im Aggressivemode hingegen ginge das, da während des verkürzten Handshakes im Agressivemode einige Informationen im Klartext übertragen werden, die im Mainmode verschlüsselt sind. Man könnte im (nicht ratsamen) Aggressivemode also durchaus für jeden User eine eigene Gatewaypolicy verwenden, damit jeder einen eigenen PSK hat. Von Sicherheitsbedenken gegen den Aggressivemode abgesehen skaliert diese Lösung aber nicht wirklich. Deshalb gibt es ab ZLD 4.10 die Möglichkeit, in der selben Gatewaypolicy benutzerabhängige PSKs zu verwenden. ZLD 4.10 gibt es für die USG100 aber nicht mehr, da EoL.
Doch das geht! Per XAuth. Einfach mal die erweiterten Einstellungen einblenden...
Warum nicht?
Das Mittel der Wahl in diesem Szenario ist die zertifikatsbasierte Authentifizierung. Dann stellt sich das Problem nicht. Jeder User bzw. VPN-Client bekommt sein eigenes Cert und dieses wird bei Verlust zurückgezogen.
Gruß
sk
Zitat von @geocast:
Man muss ja jeweils eine Gateway und eine Connection erstellen (Phase 1 und Phase 2). Muss man dann pro Client jeweils eine
erstellen? Oder können mehrere über eine einzige Konfiguration?
Man muss ja jeweils eine Gateway und eine Connection erstellen (Phase 1 und Phase 2). Muss man dann pro Client jeweils eine
erstellen? Oder können mehrere über eine einzige Konfiguration?
Im Mainmode funktioniert nur eine Gatewaypolicy mit dynamischem Peer pro vorhandener öffentlicher IP-Adresse. Man kann zwar auch mehrere anlegen, aber im Mainmode funktioniert das Ruleswapping nicht, da die Zywall nicht wissen kann, welche Gatewaypolicy der Client gerne hätte. Im Aggressivemode hingegen ginge das, da während des verkürzten Handshakes im Agressivemode einige Informationen im Klartext übertragen werden, die im Mainmode verschlüsselt sind. Man könnte im (nicht ratsamen) Aggressivemode also durchaus für jeden User eine eigene Gatewaypolicy verwenden, damit jeder einen eigenen PSK hat. Von Sicherheitsbedenken gegen den Aggressivemode abgesehen skaliert diese Lösung aber nicht wirklich. Deshalb gibt es ab ZLD 4.10 die Möglichkeit, in der selben Gatewaypolicy benutzerabhängige PSKs zu verwenden. ZLD 4.10 gibt es für die USG100 aber nicht mehr, da EoL.
Doch das geht! Per XAuth. Einfach mal die erweiterten Einstellungen einblenden...
Warum nicht?
Zitat von @geocast:
Falls doch alle über eine gehen, wie handhabt ihr es mit dem Pre-Shared Key? Falls er einmal abhanden kommt, müsste man
das ja bei jedem neu einfügen.
Falls doch alle über eine gehen, wie handhabt ihr es mit dem Pre-Shared Key? Falls er einmal abhanden kommt, müsste man
das ja bei jedem neu einfügen.
Das Mittel der Wahl in diesem Szenario ist die zertifikatsbasierte Authentifizierung. Dann stellt sich das Problem nicht. Jeder User bzw. VPN-Client bekommt sein eigenes Cert und dieses wird bei Verlust zurückgezogen.
Gruß
sk
Danke für die Ausführliche erklärung.
Was würdest du dann empfehlen wie man vorgeht, wenn man mehrere Clients haben will, die sich gleichzeitig Verbinden wollen? IPs habe ich natürlich nur eine.
Danke!
Was würdest du dann empfehlen wie man vorgeht, wenn man mehrere Clients haben will, die sich gleichzeitig Verbinden wollen? IPs habe ich natürlich nur eine.
Danke!
Zitat von @geocast:
Was würdest du dann empfehlen wie man vorgeht, wenn man mehrere Clients haben will, die sich gleichzeitig Verbinden wollen?
Was würdest du dann empfehlen wie man vorgeht, wenn man mehrere Clients haben will, die sich gleichzeitig Verbinden wollen?
Verwendung von Zertifkaten zur Authentifizierung der Clients.
Hier eine Anleitung (zugegeben steinalt - sollte aber auch mit der neuen GUI so funktionieren): http://www.zyxeltech.de/files/1.Guide_to_build_VPN_tunnel_between_USG_a ...
Gruß
sk
Danke für die Anleitung.
Eines Verstehe ich aber noch nicht ganz.
Das Zertifikat erstellen etc. macht durchaus Sinn.
Aber wenn ich dann in Phase1 vom IPSEC, dann das Zertifikat auswähle, muss ich ja das neue Zertifikat das ich erstellt habe aussuchen. Wie mache ich das dann, wenn ich für jeden Client eines Erstellt habe? Ich müsste dann nach wie vor für jeden VPN eine Gateway machen, was ja nicht geht im Main Modus wie du gesagt hast...
Oder übersehe ich etwas?
Tante EDIT:
Sorry hatte das falsch im Gedächnis, man muss/sollte das Default Zertifikat auswählen, das andere ist ja unter Trusted drin.
Jetzt habe ich eine client.crt, client.p12 und eine usg.crt Datei.
Ist es richtig, dass ich das dann in folgender Reihenfolge habe:
Server Certificat Autority File -> usg.crt
Client Certificat File -> client.crt
Client Private Key File -> client.p12
In den Logs kommt auf der Zywall, das das Zertifkat nicht gefunden werden kann, obwohl es unter Trusted ist...
#EDIT2:
So habe es am Ende doch noch rausgefunden:
Server Certificat Autority File -> usg.crt
Client Certificat File -> client.p12
Client Private Key File -> client.p12
zusätzlich noch local Identity -> ANS.1 Distinguished Name
Remote Identity -> Any
Jetzt funktioniert es Problemlos, danke nochmal!
Eines Verstehe ich aber noch nicht ganz.
Das Zertifikat erstellen etc. macht durchaus Sinn.
Aber wenn ich dann in Phase1 vom IPSEC, dann das Zertifikat auswähle, muss ich ja das neue Zertifikat das ich erstellt habe aussuchen. Wie mache ich das dann, wenn ich für jeden Client eines Erstellt habe? Ich müsste dann nach wie vor für jeden VPN eine Gateway machen, was ja nicht geht im Main Modus wie du gesagt hast...
Oder übersehe ich etwas?
Tante EDIT:
Sorry hatte das falsch im Gedächnis, man muss/sollte das Default Zertifikat auswählen, das andere ist ja unter Trusted drin.
Jetzt habe ich eine client.crt, client.p12 und eine usg.crt Datei.
Ist es richtig, dass ich das dann in folgender Reihenfolge habe:
Server Certificat Autority File -> usg.crt
Client Certificat File -> client.crt
Client Private Key File -> client.p12
In den Logs kommt auf der Zywall, das das Zertifkat nicht gefunden werden kann, obwohl es unter Trusted ist...
#EDIT2:
So habe es am Ende doch noch rausgefunden:
Server Certificat Autority File -> usg.crt
Client Certificat File -> client.p12
Client Private Key File -> client.p12
zusätzlich noch local Identity -> ANS.1 Distinguished Name
Remote Identity -> Any
Jetzt funktioniert es Problemlos, danke nochmal!
